本文来自微信公众号“GoUpSec”。
2025年,企业面临钓鱼攻击、云应用和GenAI应用三大数据安全风险的挑战。
尽管过去几年企业在员工安全意识培训方面投入了大量精力,尤其是防范钓鱼攻击的培训,但根据网络安全公司Netskope的最新报告,2024年企业用户点击钓鱼链接的比例几乎是2023年的三倍。数据显示,2024年每月平均每千名企业用户中有超过8人点击钓鱼链接,较2023年每千人不足3人的数据增长了190%。
云平台成攻击者首选,微软成为重灾区
网络犯罪分子倾向于在受害者信任的平台上托管恶意内容,例如GitHub、微软OneDrive和谷歌云端硬盘等受欢迎的云应用。在2024年,88%的企业至少每月一次遭遇来自这些云应用的恶意内容下载事件。
在所有点击的钓鱼链接中,27%针对云应用,成为首要目标。其中,微软是被攻击最多的品牌,攻击者针对微软Live和微软365账户凭据的比例高达42%。
云应用的普及使员工无意或有意地通过个人云应用处理和存储敏感信息,从而导致企业数据失控的风险。报告指出,2024年88%的员工每月使用个人云应用,其中26%曾将数据上传、发布或通过个人应用发送。这些数据泄露中,60%为受监管的数据,包括个人、财务或医疗信息。其他数据类型的违规行为包括知识产权(16%)、源代码(13%)、密码与密钥(11%)以及加密数据(1%)。
GenAI应用崛起,数据泄露风险上升
生成式人工智能(GenAI)自2023年开始席卷职场,并在2024年持续增长。94%的企业已开始使用GenAI应用,高于去年的81%。其中,ChatGPT以84%的企业使用率稳居最受欢迎的GenAI应用。
员工对GenAI应用的使用率也大幅上升,从2023年的2.6%增长到2024年的7.8%。零售和科技行业的员工使用率更是领先于其他行业,平均每月有13%的员工使用GenAI应用。
报告显示,企业平均使用9.6种GenAI应用,高于去年的7.6种。排名前25%的企业至少使用24种GenAI应用,而排名后25%的企业最多使用4种。
2025年最大挑战:GenAI数据安全
随着GenAI应用在企业中的使用率达到94%,如何安全启用这些应用并缓解数据泄露风险成为2024年的核心议题。45%的企业采用数据丢失防护(DLP)技术来控制数据流向GenAI应用,而在电信行业,这一比例高达64%。
此外,34%的企业通过实时互动用户指导帮助员工做出更明智的决策。数据显示,73%的员工在收到潜在违规行为的警告后,选择根据指导信息终止操作。
与此同时,73%的企业已阻止至少一个GenAI应用,每年的平均阻止数量稳定在2.4个。然而,排名前25%的企业阻止GenAI应用的数量在过去一年中翻倍,从6.3个增至14.6个。
2025年,随着GenAI应用的广泛普及,随之而来的数据安全风险将快速放大,企业必须加快完善与AI相关的数据安全政策与技术,确保核心数据资产的安全。
